Esercitazione: Configurazione di Concur per il provisioning utentiTutorial: Configuring Concur for User Provisioning

Questa esercitazione descrive le procedure da eseguire in Concur e Azure AD per effettuare automaticamente il provisioning e il deprovisioning degli account utente da Azure AD a Concur.The objective of this tutorial is to show you the steps you need to perform in Concur and Azure AD to automatically provision and de-provision user accounts from Azure AD to Concur.

PrerequisitiPrerequisites

Per lo scenario descritto in questa esercitazione si presuppone che l'utente disponga di quanto segue:The scenario outlined in this tutorial assumes that you already have the following items:

  • Tenant di Azure Active Directory.An Azure Active directory tenant.
  • Sottoscrizione di Concur abilitata per l'accesso Single Sign-On.A Concur single sign-on enabled subscription.
  • Account utente in Concur con autorizzazioni di amministratore di team.A user account in Concur with Team Admin permissions.

Assegnazione di utenti a ConcurAssigning users to Concur

Per determinare gli utenti che dovranno ricevere l'accesso alle app selezionate, Azure Active Directory usa il concetto delle "assegnazioni".Azure Active Directory uses a concept called "assignments" to determine which users should receive access to selected apps. Nel contesto del provisioning automatico degli account utente, vengono sincronizzati solo gli utenti e i gruppi che sono stati "assegnati" a un'applicazione in Azure AD.In the context of automatic user account provisioning, only the users and groups that have been "assigned" to an application in Azure AD is synchronized.

Prima di configurare e abilitare il servizio di provisioning, è necessario stabilire quali utenti e/o gruppi in Azure AD rappresentano gli utenti che devono accedere all'app Concur.Before configuring and enabling the provisioning service, you need to decide what users and/or groups in Azure AD represent the users who need access to your Concur app. Dopo aver stabilito questo, è possibile assegnare tali utenti all'app Concur seguendo le istruzioni riportate qui:Once decided, you can assign these users to your Concur app by following the instructions here:

Assegnare un utente o gruppo a un'app aziendaleAssign a user or group to an enterprise app

Suggerimenti importanti per l'assegnazione di utenti a ConcurImportant tips for assigning users to Concur

  • È consigliabile assegnare un singolo utente di Azure AD a Concur per testare la configurazione del provisioning.It is recommended that a single Azure AD user be assigned to Concur to test the provisioning configuration. È possibile assegnare utenti e/o gruppi aggiuntivi in un secondo momento.Additional users and/or groups may be assigned later.

  • Quando si assegna un utente a Concur, è necessario selezionare un ruolo utente valido.When assigning a user to Concur, you must select a valid user role. Il ruolo "Default Access" (Accesso predefinito) non è applicabile per il provisioning.The "Default Access" role does not work for provisioning.

Abilitare il provisioning utentiEnable user provisioning

Questa sezione illustra la connessione di Azure AD all'API per il provisioning degli account utente di Concur e la configurazione del servizio di provisioning per la creazione, l'aggiornamento e la disabilitazione degli account utente assegnati in Concur in base all'assegnazione di utenti e gruppi in Azure AD.This section guides you through connecting your Azure AD to Concur's user account provisioning API, and configuring the provisioning service to create, update, and disable assigned user accounts in Concur based on user and group assignment in Azure AD.

Suggerimento

Si può anche scegliere di abilitare l'accesso Single Sign-On basato su SAML per Concur, seguendo le istruzioni disponibili nel portale di Azure.You may also choose to enabled SAML-based Single Sign-On for Concur, following the instructions provided in Azure portal. L'accesso Single Sign-On può essere configurato indipendentemente dal provisioning automatico, nonostante queste due funzionalità siano complementari.Single sign-on can be configured independently of automatic provisioning, though these two features compliment each other.

Per configurare il provisioning degli account utente:To configure user account provisioning:

Questa sezione descrive come abilitare il provisioning utente degli account utente di Active Directory in Concur.The objective of this section is to outline how to enable provisioning of Active Directory user accounts to Concur.

Per abilitare le app nel servizio Expense, è necessario configurare e usare in modo corretto un profilo di amministratore di servizi Web.To enable apps in the Expense Service, there has to be proper setup and use of a Web Service Admin profile. Non aggiungere il ruolo di amministratore dei servizi Web al profilo amministratore esistente usato per le funzioni amministrative di T&E.Don't add the WS Admin role to your existing administrator profile that you use for T&E administrative functions.

I consulenti Concur o l'amministratore client devono creare un diverso profilo di amministratore dei servizi Web e l'amministratore client deve usare tale profilo per le funzioni di amministratore dei servizi Web, ad esempio per abilitare le app.Concur Consultants or the client administrator must create a distinct Web Service Administrator profile and the Client administrator must use this profile for the Web Services Administrator functions (for example, enabling apps). Questi profili devono essere mantenuti separati dal profilo di amministratore T&E giornaliero dell'amministratore del client. Questo significa che al profilo di amministratore T&E non deve essere assegnato il ruolo di amministratore dei servizi Web.These profiles must be kept separate from the client administrator's daily T&E admin profile (the T&E admin profile should not have the WSAdmin role assigned).

Quando si crea il profilo da usare per abilitare l'app, immettere il nome dell'amministratore client nei campi del profilo utente per assegnare la proprietà al profilo.When you create the profile to be used for enabling the app, enter the client administrator's name into the user profile fields. Ciò consente di assegnare la proprietà al profilo.This assigns ownership to the profile. Dopo la creazione di uno o più profili, il client dovrà accedere con questo profilo per poter fare clic sul pulsante "Abilita" relativo a un'app dei partner nel menu Servizi web.Once one or more profiles is created, the client must log in with this profile to click the "Enable" button for a Partner App within the Web Services menu.

Per i seguenti motivi è consigliabile non eseguire questa operazione con il profilo usato per la normale amministrazione T&E.For the following reasons, this action should not be done with the profile they use for normal T&E administration.

  • Il client deve essere quello che fa clic su "" nella finestra di dialogo visualizzata dopo l'abilitazione di un'app.The client has to be the one that clicks "Yes" on the dialogue window that is displayed after an app is enabled. Tale operazione conferma che il client consente all'applicazione del partner di accedere ai dati, di conseguenza non può essere l'utente o il partner a fare clic sul pulsante Yes.This click acknowledges the client is willing for the Partner application to access their data, so you or the Partner cannot click that Yes button.

  • Se un amministratore client che ha abilitato un'app con il profilo di amministratore T&E lascia la società e il relativo profilo viene disattivato, tutte le app abilitate tramite tale profilo non funzioneranno finché l'app non viene abilitata con un altro profilo di amministratore di servizi Web attivo.If a client administrator that has enabled an app using the T&E admin profile leaves the company (resulting in the profile being inactivated), any apps enabled using that profile does not function until the app is enabled with another active WS Admin profile. È per questo motivo che è richiesta la creazione di profili distinti per l'amministratore di servizi Web.This is why you are supposed to create distinct WS Admin profiles.

  • Se un amministratore lascia la società, se necessario è possibile modificare il nome associato al profilo dell'amministratore di servizi Web impostandolo su quello di sostituzione senza alcun impatto sull'app abilitata perché non è necessario disattivare tale profilo.If an administrator leaves the company, the name associated to the WS Admin profile can be changed to the replacement administrator if desired without impacting the enabled app because that profile does not need inactivated.

Per configurare il provisioning utenti, seguire questa procedura:To configure user provisioning, perform the following steps:

  1. Accedere al tenant di Concur.Log on to your Concur tenant.

  2. Nel menu Administration (Amministrazione) selezionare Web Services (Servizi Web).From the Administration menu, select Web Services.

    Tenant ConcurConcur tenant

  3. Sul lato sinistro nel riquadro Web Services (Servizi Web) selezionare Enable Partner Application (Abilita applicazione partner).On the left side, from the Web Services pane, select Enable Partner Application.

    Enable Partner ApplicationEnable Partner Application

  4. Dall'elenco Enable Application (Abilita applicazione) selezionare Azure Active Directory, quindi fare clic su Enable (Abilita).From the Enable Application list, select Azure Active Directory, and then click Enable.

    Microsoft Azure Active DirectoryMicrosoft Azure Active Directory

  5. Fare clic su Yes (Sì) per chiudere la finestra di dialogo Confirm Action (Conferma operazione).Click Yes to close the Confirm Action dialog.

    Confirm ActionConfirm Action

  6. Nel portale di Azure passare alla sezione Azure Active Directory > App aziendali > Tutte le applicazioni.In the Azure portal, browse to the Azure Active Directory > Enterprise Apps > All applications section.

  7. Se si è già configurato Concur per l'accesso Single Sign-On, cercare l'istanza di Concur usando il campo di ricerca.If you have already configured Concur for single sign-on, search for your instance of Concur using the search field. In caso contrario, selezionare Aggiungi e cercare Concur nella raccolta di applicazioni.Otherwise, select Add and search for Concur in the application gallery. Selezionare Concur nei risultati della ricerca e aggiungerlo all'elenco delle applicazioni.Select Concur from the search results, and add it to your list of applications.

  8. Selezionare l'istanza di Concur e quindi la scheda Provisioning.Select your instance of Concur, then select the Provisioning tab.

  9. Impostare Modalità di provisioning su Automatico.Set the Provisioning Mode to Automatic.

    provisioning

  10. Nella sezione Credenziali amministratore immettere il nome utente e la password dell'amministratore di Concur.Under the Admin Credentials section, enter the user name and the password of your Concur administrator.

  11. Nel portale di Azure fare clic su Connessione di test per verificare che Azure AD possa connettersi all'app Concur.In the Azure portal, click Test Connection to ensure Azure AD can connect to your Concur app. Se la connessione non riesce, verificare che l'account Concur disponga di autorizzazioni di amministratore di team.If the connection fails, ensure your Concur account has Team Admin permissions.

  12. Immettere l'indirizzo di posta elettronica di una persona o un gruppo che riceverà le notifiche di errore relative al provisioning nel campo Messaggio di posta elettronica di notifica e selezionare la casella di controllo.Enter the email address of a person or group who should receive provisioning error notifications in the Notification Email field, and check the checkbox.

  13. Fare clic su Salva.Click Save.

  14. Nella sezione Mapping selezionare Synchronize Azure Active Directory Users to Concur (Sincronizza utenti di Azure Active Directory in Concur).Under the Mappings section, select Synchronize Azure Active Directory Users to Concur.

  15. Nella sezione Mapping degli attributi esaminare gli attributi utente che vengono sincronizzati da Azure AD a Concur.In the Attribute Mappings section, review the user attributes that are synchronized from Azure AD to Concur. Gli attributi selezionati come proprietà corrispondenti vengono usati per trovare le corrispondenze con gli account utente in Concur per le operazioni di aggiornamento.The attributes selected as Matching properties are used to match the user accounts in Concur for update operations. Selezionare il pulsante Salva per eseguire il commit delle modifiche.Select the Save button to commit any changes.

  16. Per abilitare il servizio di provisioning di Azure AD per Concur, impostare lo Stato del provisioning su nella sezione ImpostazioniTo enable the Azure AD provisioning service for Concur, change the Provisioning Status to On in the Settings section

  17. Fare clic su Salva.Click Save.

È ora possibile creare un account di test.You can now create a test account. Attendere 20 minuti per verificare che l'account sia stato sincronizzato con Concur.Wait for up to 20 minutes to verify that the account has been synchronized to Concur.

Risorse aggiuntiveAdditional resources